Cu 14 milioane de downloads la activ, toate versiunile plugin-ului SEO by Yoast precedente 1.7.3.3 prezintă o vulnerabilitate critică pentru WordPress deoarece pot duce la spargerea bazei de date și scurgerea de informații.
Cum se exploatează vulnerabilitatea
E imposibil ca cineva din exterior să spargă direct site-ul, pentru că are nevoie de privilegiile unui admin. Este vorba de un URL care execută un SQL injection care oferă posibilitatea hacker-ului să execute query-uri în baza de date. Partea bună este că acest URL funcționează doar dacă accesat de către administratori, partea rea este că poate fi facută accesarea din greșeală sau intenționat, vă dați seama că butonul sau URL-ul respectiv nu e „Apasă pentru a fi hackuit”.
Ce e de făcut?
Cei de la Yoast au luat imediat măsuri și au lansat versiunea 1.7.4 în care au remediat problema, atât pt varianta free cât și pentru cea Premium. Așadar, un update al pluginului va rezolva problema.
SEO by Yoast este unul dintre cele mai populare plugin-uri de SEO pentru WordPress și pe bună dreptate, pentru că este destul de complex. Eu personal folosesc All in One SEO pack și sunt mulțumit de el. Le-am folosit pe amandouă și mi se par de același nivel, ca fiind cele mai bune disponibile pentru WordPress.